WannaCry变种病毒出现,勒索变蓝屏
  

深信服安全产品研发 36107

{{ttag.title}}

WannaCry变种病毒出现,勒索变蓝屏


近日,某公司千里目安全实验室捕获到 WannaCry 的变种病毒,可致用户主机蓝屏。

病毒变种分析
本次捕获的WannaCry变种跟之前风靡全球的对主机进行勒索的 WannaCry 对比图如下:


具体的变化:

1、KillSwitch 开关不再有效
之前的 WannaCry 病毒拥有 KillSwitch 域名开关,当病毒可以访问该域名www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com时,病毒终止运行和传播,不会对主机造成任何破坏。变种病毒虽然也会连接该 KillSwitch 域名,但并不会因访问到该域名而终止运行。由于该变种病毒不再受 KillSwitch 影响,但是可能会像当年的飞客蠕虫一样,感染量较大。

2、勒索程序运行失效,可造成系统蓝屏崩溃
WannaCry 之前的版本会释放勒索程序对主机进行勒索,变种后该程序在主流 Windows 平台下运行失败,无法进行勒索操作。但如果内网中多个主机感染了该变种病毒,病毒之间会利用“永恒之蓝”漏洞进行互相攻击。由于该变种病毒使用了堆喷射技术进行漏洞利用,并不稳定,存在小概率出现漏洞利用失败。在漏洞利用失败的情况下,会造成被攻击主机蓝屏的现象。

病毒影响
变种病毒传播方式跟之前一样,也是通过 MS17-010 中的“永恒之蓝”漏洞进行传播。病毒传播过程中,漏洞利用成功时主机受感染,漏洞利用失败则造成主机蓝屏蓝屏信息显示 srv.sys 驱动出现问题,srv.sys 正是存在“永恒之蓝”漏洞的驱动文件。


该变种病毒单台主机被感染特征不明显,容易引发内网传播,扩大影响范围,需小心防范。

解决方案
1、微软官方在 3 月份已发布补丁 MS17-010 修复了“永恒之蓝”病毒所利用的 SMB 漏洞,请前往官网下载安装。经过前段时间 WannaCry 勒索病毒事件已打过补丁的用户将不受影响,无需再次升级补丁。补丁地址:
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2、暂时无法进行升级的用户,可临时禁止使用 SMB 服务的 445 端口,禁用方法:
https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html

3、某公司防火墙早在一个月前就已发布针对微软 SMB 漏洞的攻击防护,用户升级到 20170415 及其以上版本即可防御此漏洞的攻击。

4、某公司千里目安全实验室在捕获 WannaCry 变种样本后紧急开发专杀工具,计算机在中病毒后,可以使用专杀工具进行查杀。建议先封闭本地主机的445端口,或者打完补丁后重启主机,再进行专杀确保专杀干净。专杀工具下载地址:
http://sec.sangfor.com.cn/download?file=WannaCryKiller.exe

在这个黑客横行的时代,安全问题一再被关注,对于网络的安全防护,您采取了哪些有效的方法,对安全厂商有哪些意见、建议,欢迎跟帖畅聊!

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

稻草 发表于 2017-7-12 09:39
  
太可怕了。。。
青菜萝卜各有所爱 发表于 2017-7-12 09:52
  
天气炎热了,主机温度过高,PC容易蓝屏。要注意区别蓝屏的种类。
总有辣么几个刁民想弄死朕 发表于 2017-7-12 09:53
  
我电脑倒没有动不动蓝屏,倒是动不动各种程序崩溃,我差点也崩溃了,特别是升级客户端跟QQ还有360浏览器这3个经常崩溃,异常自己强制退出,好烦人哦,是不是离中毒不远了
只是想改个名称 发表于 2017-7-12 10:22
  
怎么没完没了了啊
lchduck 发表于 2017-7-12 10:28
  
漏洞利用失败??这个失败指什么,系统打了补丁,是否就是利用失败?
另一个问题:这个病毒是否和上次病毒写入的系统文件一样?
tj_zero 发表于 2017-7-14 09:12
  
再次出变种;
我就纳闷了,今年那么不消停呢;
下载补丁,继续打。
kurain 发表于 2017-8-3 15:29
  
您好,我这边的公司大规模中了这个蓝屏的变种病毒,很多电脑表面上看着没事,只要接上网线,过段时间就会出现蓝屏重启。我将所有出现过srv.sys的蓝屏的机子下载了补丁离线打完补丁重启后并用深信服蓝屏专杀工具清理。恢复使用,没有重装机子。
我想问下。这个病毒局域网中毒后怎么处理,染毒后的机子打完补丁专杀完,但公司网络近几日依然会出现波动,延迟。
是不是染毒后的机子即使专杀完仍然还存在某些使用大量网络资源的虚拟货币挖矿机等恶意程序?
或者是公司网络内存在着染毒后蓝屏现象并不明显的机子依然在运行造成的网络波动?
蓝色枫之伤 发表于 2017-10-11 19:55
  
我们这边有蓝屏报这个错误的,这是病毒利用失败的,那没失败的咋查,用专杀吗,我们有6000多机器
新手835383 发表于 2019-1-14 08:33
  
加油把病毒攻克~~~
发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
新版本体验
【 社区to talk】
技术盲盒
每日一问
社区新周刊
产品连连看
技术咨询
干货满满
标准化排查
GIF动图学习
功能体验
纪元平台
安装部署配置
每周精选
信服课堂视频
解决方案
SDP百科
社区帮助指南
自助服务平台操作指引
技术笔记
玩转零信任
S豆商城资讯
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
秒懂零信任
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人